安全内参8月29日消息，最近几天，由于俄罗斯导弹和无人机袭击全国关键基础设施，数百万乌克兰人经历了互联网中断。 根据互联网监控服务NetBlocks的数据，截至27日（星期二），乌克兰的全国互联网连接率维持在正常水平的71%左右。 图：乌克兰各地区的互联网连接率（2024年8月23日至26日） 遭俄罗斯大规模空袭后，乌克兰还引入了紧急停电措施。在包括基辅在内的一些城市，电力乃至自来水供应中断了近12小时。 26日，俄罗斯向乌克兰发射了127枚导弹和109架无人机，这是自三年前战争爆发以来规模最大、成本最高的攻击之一。据《福布斯》估计，这次袭击花费了俄罗斯高达13亿美元。 27日，俄罗斯向乌克兰目标发射了10枚导弹和81架无人机，主要针对关键基础设施，包括水电站、能源设施和地下天然气储存库。 由于乌克兰大范围停电，移动运营商的基础设施只能依靠基站的电池和发电机工作。当基站因流量过载时，部分用户的移动连接可能会受到影响。 俄乌网络物理协同攻击越发普遍 俄罗斯一直在不断尝试摧毁乌克兰的能源和互联网基础设施。今年1月初，数十枚俄罗斯导弹袭击基辅，“显著”干扰了该市的互联网连接。2022年10月，俄罗斯导弹破坏了部分电信基础设施和能源设施，乌克兰全国的通信服务也曾遭遇中断。 俄罗斯用户也会在互联网接入和其他数字服务方面遇到问题，这经常是乌克兰发动物理和网络攻击所致。 本周一，NetBlocks报告称，在目前被俄罗斯控制的克里米亚地区，塞瓦斯托波尔市的互联网连接崩溃。同时有报道称，克里米亚发生大规模停电。该地区的俄罗斯领导层声称，事故起因是克里米亚能源分配网络紧急关闭，但也可能与乌克兰对克里米亚的袭击有关。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/4LFK6hEqSAE9wry3H6k76w 封面来源于网络，如有侵权请联系删除

过去两天，俄罗斯导弹和无人机袭击了乌克兰全国的关键基础设施，导致数百万乌克兰人的互联网中断。 根据互联网监控服务 NetBlocks 的数据，截至周二，乌克兰全国互联网连接率仍为正常水平的 71％。 乌克兰还因俄罗斯大规模空袭而实施紧急断电，包括基辅在内的一些城市停电、停水近12个小时。 周一，俄罗斯向乌克兰发射了 127 枚导弹和 109 架无人机——这是自三年前战争爆发以来规模最大、代价最高的袭击之一。据《福布斯》估计，此次袭击花费了俄罗斯高达 13 亿美元。 周二，俄罗斯向乌克兰目标发射了 10 枚导弹和 81 架无人机，这些目标大多是关键基础设施，包括水电站、能源设施和地下天然气储存设施。 由于乌克兰停电，移动运营商的基础设施已依赖于基站安装的电池和发电机。当基站不堪重负时，可能会影响部分用户的移动连接。 俄罗斯不断试图摧毁乌克兰的能源和互联网基础设施。今年 1 月早些时候，数十枚俄罗斯导弹击中基辅后，基辅的互联网连接“严重”中断。2022 年 10 月，俄罗斯导弹摧毁了乌克兰部分电信基础设施和能源设施，导致该国全国范围内的通信服务中断。 俄罗斯用户在访问互联网和其他数字服务时也经常遇到问题，这通常是由于乌克兰的物理和网络攻击造成的。 本周早些时候，NetBlocks报道称，在俄罗斯占领的克里米亚地区大规模停电的报道中，塞瓦斯托波尔市的互联网连接也中断了。俄罗斯地区领导层声称，此次事件是由于克里米亚能源配送网络紧急关闭所致，但也可能与乌克兰对克里米亚的袭击有关。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/_z_eu2eWF1cXStqmdQ-vew 封面来源于网络，如有侵权请联系删除

据BlackBerry威胁情报团队报道，一个与印度相关联的SideWinder APT组织最近一直针对印度洋和地中海的港口和海上设施发动攻击。 该组织别名包括 SideWinder、Rattlesnake 和 Razor Tiger，自 2012 年以来一直活跃，主要针对巴基斯坦、阿富汗、中国和尼泊尔的政府、军队和企业进行网络间谍活动。 在过去的一年中，该组织不断更新其基础设施，并在新的袭击中采用新的战术和技术，重点针对巴基斯坦、埃及和斯里兰卡实体，同时还瞄准孟加拉国、缅甸、尼泊尔和马尔代夫等其他目标。 此次攻击延续了 SideWinder 对间谍和情报收集的关注，使用通过鱼叉式网络钓鱼电子邮件发送的恶意文档，并依靠 DLL 侧载来植入恶意软件。 这些攻击中使用的恶意文件经过精心定制，看上去好像来自目标已知的组织，例如地中海的亚历山大港和红海港务局。 诱饵文档1 滥用埃及（合法）红海港务局标志的诱饵文档2 针对斯里兰卡使用僧伽罗语书写的诱饵文档3 “在我们的研究中，我们发现攻击者共使用了三种视觉诱饵。视觉诱饵本身可能不是恶意的；它们的主要目的是分散受害者的注意力，使他们无法意识到自己受到了攻击。”BlackBerry 指出。 SideWinder 使用旨在唤起强烈情绪（如恐惧和焦虑）的标题来引诱目标立即打开文档，从而分散他们对后台发生的恶意活动的注意力。 这些恶意文档针对的是Microsoft Office 中被广泛利用的远程代码执行漏洞 (CVE-2017-0199)，其中包含指向攻击者控制的网站的纯文本 URL。一旦受害者打开文档，就会访问该 URL 以获取下一阶段。 下一步，富文本格式 (RTF) 文件会获取一份文档，该文档利用 Office 中的另一个已知漏洞 (CVE-2017-11882) 在系统上执行 shellcode。 Shellcode 执行一系列检查以确定它是否在虚拟环境中运行，然后解密并运行用于从远程服务器加载下一阶段的 JavaScript 代码。 BlackBerry 的分析显示，攻击者一直使用旧的 Tor 节点作为第二阶段命令和控制 (C＆C) 服务器，同时继续依赖已知的 Sidewinder 域命名结构。 BlackBerry 指出：“我们尚未观察到攻击最后阶段所传递的任何 JavaScript 样本。然而，根据 SideWinder 先前的活动，我们认为此次活动的目标是间谍活动和情报收集。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bI6nvkaQMjvVir4ZHwvvWg 封面来源于网络，如有侵权请联系删除

大半年以来，多个俄罗斯网络单位已经将目标从战略性民用目标转向了士兵的电脑和手机终端，以便在乌克兰前线实现战术性军事目标；俄罗斯情报部门寻求最大限度地整合网络作战与常规作战能力，以更好地支持未来几个月俄罗斯在乌克兰东部发起的新一轮攻势。 安全内参7月26日消息，英国皇家联合军种国防研究所（RUSI）发表了文章《俄罗斯网络战重心转向乌克兰前线》，作者为谷歌云旗下曼迪安特公司网络谍报分析经理Dan Black。该文章认为，俄罗斯对乌克兰的网络作战方法发生了显著变化，攻击目标由民用关基设施转向军事目标，寻求最大限度地整合网络作战能力与常规作战能力。安全内参编译如下。 随着俄罗斯按计划展开主要的夏季攻势，莫斯科在乌克兰的网络作战方法发生了显著变化，而这些变化此前被长期低估。现在正是审视这些变化的最佳时机。 迄今为止，大多数西方分析都集中在俄罗斯发动的第一波次引人注目的网络攻势上，试图剖析攻击方法的优劣，并评估俄罗斯对乌克兰关键基础设施展开新一轮类似性质破坏性攻击的可能性。然而，这些分析的关注点有所偏差，导致西方对俄罗斯网络作战的理解局限于一个维度，认为俄罗斯试图通过广泛破坏计算机网络让乌克兰社会压力不断累积。实际上，这种“打击有价值目标”的策略自俄乌战争的第一年起就不再占主导地位。当时，俄罗斯期望通过短期战争取胜。 现实比想象的更为残酷。俄罗斯情报部门已经调整了他们在网络空间的态势，以应对长期战争的需求。越来越多的证据表明，从2023年乌克兰大反攻前的几个月开始，多个俄罗斯网络单位已经将目标从战略性的民用目标转向了士兵的计算机和移动端点，以便在乌克兰前线实现战术性军事目标。 这种作战重点的转变是全面的。长期以来，俄罗斯军事情报部门总参谋部情报总局（GRU）和国内安全部门联邦安全局（FSB）互相竞争、互不信任。如今，为了提高军事效能，两者统一了之前相互脱节的网络工作，并对一系列作战方法进行了系统性调整。 这只是一种优先级的相对转变，而非对俄罗斯更广泛战略的彻底改革。目前，部分作战活动模式表明俄罗斯仍对乌克兰关键基础设施目标感兴趣。由于这些目标在当下并不具备情报价值，这可能说明俄罗斯正在为未来的破坏行动做准备。然而，显而易见的是，莫斯科已经重新平衡其总体作战概念，将重点放在那些能够为常规部队提供更直接、更具象的战场优势的目标上。 这些调整不仅反映了俄罗斯对乌克兰的野心在缩减，也表明在过去两年冲突升级为消耗战后，俄罗斯改变了对基辅主要力量来源的总体判断。这些变化还表明，经过两年的高强度作战，俄罗斯情报部门已经调整了思维方式，最大限度地整合网络作战能力与常规作战能力，以更好地支持未来几个月俄罗斯在乌克兰东部发起的新一轮攻势。 俄罗斯的战术转变 我们基本可以断定，俄罗斯调整网络战重心，是为了满足对战术相关信号情报日益增长的需求。调整后的网络战工作将主要实现以下目标。 首要目标是渗透乌克兰前线士兵使用的设备。 由于基辅方面非常重视“数据驱动战斗”的理念，智能手机成为确定运动模式和定位乌克兰阵地的重要数据来源。乌军严重依赖免费加密消息应用（EMAs），例如用于安全通信的Signal，因此对这些设备的窃听成为GRU和FSB的首要任务。 对于莫斯科来说，想要大规模收集这些类型的信号并非易事。流行的加密消息应用所使用的密码协议已经经过了严格的公众审查，俄罗斯军情部门很难悄然破解这些协议。前线的手机也不太可能连接到移动网络，否则俄罗斯可以通过入侵电信基础设施或电子战手段可靠地收集地理位置和其他信号。为了填补这一关键的信号收集空白，俄罗斯情报部门必须吸取一些新的作战理念。 第一种方法较为常规，即通过恶意软件全面入侵设备。这些恶意软件通常伪装成乌克兰军队使用的应用程序。这种技术并不新鲜。早在2016年，GRU就篡改了一个乌克兰应用程序，用于定位炮兵单位。但是，随着基辅不断进行软件驱动的军事创新，伪装恶意软件为移动应用的成本大幅上升。为了传递恶意软件，这些行动通常依赖于高度定制的社交工程，重新利用合法的军事通信，并通过Signal和Telegram聊天与目标直接互动以建立关系。 另一种较新的方法则通过常见加密消息应用内置的设备链接功能来窃取消息。一家与俄罗斯军方相关的单位，专注于通过社交工程使乌克兰士兵将由俄罗斯情报控制的加密消息应用实例（包括Signal、Telegram和WhatsApp）链接到他们的账户。类似的FSB行动主要是利用已经链接到乌克兰士兵手机的系统。根据微软的报告，来自FSB主要信号情报单位第16中心的网络操作人员，对窃取包含Signal桌面版消息内的文件特别感兴趣。一旦获得这些文件，他们就可以访问目标的私人Signal对话和附件。 同样，为了获得类似的访问权限，GRU也在通过近距离访问利用俄军在战场上缴获的移动设备和其他系统。这表明，网络操作人员开始通过技术手段使俄军能够独立启动对乌克兰设备的情报收集。 例如，一项Mandiant研究揭示了GRU的特殊技术主要中心（GTsST），即通常所说的APT44或Sandworm，如何为俄罗斯地面部队提供专用基础设施和技术指令，使他们能够从前线俘获的设备中获取Telegram和Signal通信。乌克兰国家安全局（SBU）也同样报告了Sandworm利用俘获的设备作为突破口传送恶意软件“Infamous Chisel”，从而渗透军事网络并从连接的“星链”终端和乌克兰军队使用的专业应用套件中收取数据。 第二大目标是渗透乌克兰军队用于指挥控制、态势感知和其他操作需求的数字系统。 毫无疑问，像Delta和Kropyva这样的数字化战场管理系统一直是乌克兰军队信息和作战优势的关键所在。事实上，莫斯科也认为这些系统非常有效，甚至也在尝试为俄罗斯军队开发精确复制品。与试图伪装成这些应用的恶意软件以入侵端点的行动不同，实现上述目标需要欺骗士兵放弃他们的凭证，从而为俄罗斯军情部门提供秘密视角，混入基辅的通用作战图景。 除了通过专门行动获取乌克兰士兵使用的设备和系统的访问权限，俄罗斯还调整了网络部队的定位，帮助定位乌克兰的军事装备和阵地。SBU警告称，俄罗斯试图控制人口中心的被入侵网络摄像头，以定位乌克兰的防空设施和其他关键基础设施对象，并将目标数据输入其侦察-打击复合体。荷兰军事情报部门也同样警告公众，俄罗斯网络战的整体重心发生了转移，开始强调军事阵地和装备的定位和绘制行动，以便日后实际夺取这些设施。向乌克兰提供援助的国家应该充分考虑这种网络支持的监视活动带来的潜在风险。在欧洲各地不断升级的破坏活动强烈表明，洞悉西方军事供应链目前是俄罗斯情报部门在数据收集方面的优先事项。 值得注意的是，每一条新的作战理念都说明，俄罗斯网络部队与常规部队之间的双向关系不断加深。二者在战争初期的协调工作不断延伸，已经涵盖了战略和战术目标。此外，这些作战理念还说明，在特定行动中，俄罗斯网络部队很可能会向前线靠拢，尝试利用这些移动设备可能提供的短暂战术情报。展望未来，随着战争的继续，我们可以合理预期，二者之间更密切的合作关系将带来进一步的调整和更新的作战理念。 对乌克兰和北约的影响 上述分析对西方决策者的主要启示是，移动设备已经成为俄罗斯在乌克兰网络战中的关键重心。由于俄乌战争前线技术密度高、传感器密布，从士兵设备和连接它们的数字网络收集信号成为重中之重。随着新技术继续塑造战场形态、推动前线的战术创新，这类行动在战争的下一阶段可能会变得更加普遍。 我们需要认识到，俄乌战场的技术环境已经发生了根本性变化。早期关于政府和私营部门支持乌克兰网络防御能力的经验教训不再适用。敏感军事网络和移动设备变得更加模糊，虚拟事件也更加难以响应，准备好提供相应类型安全援助的防御伙伴也更少。尽管乌克兰在防御方面取得了令人印象深刻的成就，但俄罗斯对部队使用方式的调整要求我们重新关注如何才能最好地维持国际社会对乌克兰网络防御的支持。这一点尤其重要，因为其他新兴威胁正越来越多地消耗有限的情报资源和注意力。 同样重要的是，我们必须开始承认，这些间谍行动能够造成严重的次生后果。比如，2023年11月，乌克兰第128山地突击旅遭到致命打击，原因就是俄罗斯入侵了一名士兵的Signal账户。虽然主流观点日益怀疑网络行动能否对俄罗斯带来军事效益，但我们必须认真思考俄罗斯重新调整作战任务会带来哪些影响。鉴于消耗战已成为俄罗斯战略的关键要素，我们还应该思考上述调整对网络在传统军事行动中日益扩展角色意味着什么。 恶意链接设备即使在手机断开连接、被销毁或以其他方式不可用时仍然可以被窃听，这是因为Signal消息不需要通过收件人的手机即可路由到链接设备。因此，即使通信没有到达预期的乌克兰收件人，也能到达俄罗斯操作人员手中。正如一位乌克兰专家所说，如果“一名营级战斗小组的士兵被俘或死亡，他的手机落入敌手，俄罗斯人会在一个月内读取该小组的所有通信”。这些行动可能带来严重的长期影响。 我们还应准备好在乌克兰以外看到俄罗斯应用新的作战理念。如今，Signal和其他加密消息应用已成为敏感通信的标配。这些应用在西方军队、政治家、民间社会团体中得到广泛使用，而这些群体都是俄罗斯情报部门的常见目标。因此，俄罗斯很有可能将为战争开发的战术更广泛地用来获取其他紧急情报。例如，从乌克兰的伙伴那里收集外国政治情报，或者干扰西方即将举行的某场重要选举。历史告诉我们，俄罗斯的技战术很少只用于乌克兰。   转自安全内参，原文链接：https://www.secrss.com/articles/68534 封面来源于网络，如有侵权请联系删除

美国网络安全公司 KnowBe4 表示，其最近聘请的一名首席软件工程师原来是朝鲜黑客，他试图在其设备上安装信息窃取软件。 该公司及时发现并阻止了恶意行为，因此没有发生数据泄露。这起案件凸显了朝鲜黑客冒充 IT 人员的持续威胁，这是FBI 自 2023 年以来多次警告的事情 。 朝鲜拥有一支组织严密的IT 工作者大军，他们隐瞒自己的真实身份，可能受雇于数百家美国公司。 朝鲜黑客利用AI骗过背景调查 在雇用这名“员工”之前，KnowBe4 进行了背景调查，核实了所提供的推荐信，并进行了四次视频面试，以确保他们是真实的人，并且他的脸与简历上的相符。 但后来确定，该人提交了一名被盗的美国人的身份，以逃避初步检查，并且在视频会议中利用人工智能工具创建个人资料图片并进行面部匹配。 KnowBe4 是一家专门从事安全意识培训和网络钓鱼模拟的公司，2024 年 7 月 15 日，其 EDR 产品报告有人试图从刚刚发送给新员工的 Mac 工作站加载恶意软件，因此怀疑出现了问题。 KnowBe4 的一位发言人表示，该恶意软件是一个针对存储在网络浏览器数据的信息窃取程序，而这名恶意员工很可能希望提取在委托给他之前留在计算机上的信息。 攻击者可能为了查找 IT 部门初始配置过程中先前浏览器会话遗留的凭据，或者提取先前发给其他员工的未完成或未正确擦除的笔记本电脑中遗留的信息。 当该公司 IT 人员质问该活动时，这名“员工”最初辩解，但很快就停止了所有通信。 当这些警报到达 KnowBe4 的 SOC 团队时，他们联系了用户，询问异常活动和可能的原因。XXXX回复 SOC 说，他正在按照路由器指南上的步骤排除速度问题，这可能造成了损害。 攻击者执行了各种操作来操纵会话历史文件、传输潜在有害文件并执行未经授权的软件。他使用 Raspberry Pi 下载了恶意软件。SOC 试图从 XXXX 获取更多详细信息，包括给他打电话。XXXX 表示他无法接听电话，后来没有回应。 KnowBe4 首席执行官 Stu Sjouwerman 在一篇帖子中解释说，该计划涉及诱骗雇主将工作站发送到“IT 电脑农场”，该农场位于诈骗者在其申请表上申报的家庭住址附近。 然后，他们在夜间使用 VPN 连接到该设备，这样看起来就像他们在美国时间工作一样，并正常执行分配给他们的任务。 为了降低这种风险，KnowBe4 建议公司为新员工维护一个与最关键的网络部分隔离的沙盒。 该公司还表示，要确保新员工的外部设备不会被远程使用，并将送货地址不一致视为危险信号。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/NqYAPiPcdk4OsVgAG_LkLQ 封面来源于网络，如有侵权请联系删除

在谷歌宣布拟230亿美元收购Wiz后，这家网络安全初创公司最终决定拒绝这一天价收购要约。 根据最新一期《财富》杂志周一披露，Wiz已向公司1200名员工发了一份内部说明，称Wiz是一家价值120美元的云安全初创公司，正在与谷歌母公司Alphabet进行收购谈判，公司已决定不推进这笔交易，并将继续是一家独立的公司。 “虽然我们对收到的报价感到受宠若惊，但我们选择继续走在建立Wiz的道路上，”首席执行官Assaf Rappaport写道。他进一步概述了该公司的雄心勃勃的目标，包括达到10亿美元的年度经常性收入并最终IPO上市。 Wiz是一家成立于2020年的以色列网络安全初创公司，曾今年年初以120亿美元的估值筹集了10亿美元的风险投资，并计划将这笔资金用于增长和收购。今年4月，Wiz以 3.5 亿美元的价格收购了 Gem Security。 一位知情人士向《财富》杂志证实，Wiz的投资者完全支持公司继续保持独立的决定，该决定基于一个简单的计算：Wiz已经足够大，可以瞄准IPO，这仍然是公司的最终目标。 知情人士还称，此次巨额收购将招致监管部门的反垄断审查也是Wiz最终决定寻求保持独立的原因之一。 目前，美欧监管机构对大型企业的收购和合并采取强硬立场，谷歌因线上搜索领域的主导地位和广告技术业务中阻碍公平竞争的行为正面临美国司法部的反垄断诉讼。 据悉，Wiz拒绝被谷歌收购的决定得到了一系列知名投资者的支持，包括Andreessen Horowitz、Lightspeed Venture Partners、Thrive Capital、Index Ventures、Cyberstarts、Advent International、Greylock、Greenoaks、Salesforce Ventures、Sequoia Capital和Wellington Management。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406854.html 封面来源于网络，如有侵权请联系删除

两名俄罗斯网络犯罪分子针对美国关键基础设施开展网络攻击，美国政府已对其实施制裁。 据美国财政部新闻稿，这两名被制裁者分别是 Yuliya Vladimirovna Pankratova 和 Denis Olegovich Degtyarenko，他们是与俄罗斯结盟的黑客组织 “俄罗斯重生网络军”（CARR）的主要成员。 据报道，黑客 Pankratova 在网络上被称为”YuliYA”。据称她是 CARR 组织的头目，负责管理该组织的操作人员，并充当发言人角色。 Degtyarenko 又名 “Dena”，是 CARR 的核心黑客，负责实施攻击计划并为其他人制作培训材料。 CARR 于 2022 年开始活动，并使用分布式拒绝服务 (DDoS) 攻击乌克兰和支持乌克兰的国家。 该黑客组织的行动于 2023 年底升级，他们将目标锁定在关键基础设施的工业系统上，包括美国和欧洲的水处理和能源设施。 2024 年 1 月，CARR 声称对一家美国能源公司 SCADA 系统和德克萨斯州一个储水装置的入侵事件负责，并发布了他们进入相关系统的视频证据。 虽然 CARR 在这些事件中未能造成重大损失，但其活动所带来的高风险足以促使相关机构对其采取法律行动。 财政部负责反恐事务的副部长 Brian E. Nelson 表示：“CARR 及其成员针对我们的关键基础设施实施攻击，这一行为给公民和社区造成了很大的威胁，可能导致一些危险的后果。” “美国将持续采取行动，利用各种手段追究恶意网络活动参与者的责任。” 由于美国宣布了制裁措施，因此被指认个人在美国的财产和利益基本上被封锁。 此外，美国公民被禁止与这两名黑客进行任何交易，任何发生交易的金融机构都可能面临制裁或罚款。 对没有美国引渡协议的国家公民实施制裁可以有效地孤立他们，同时对其施压，破坏他们的网络犯罪活动，并阻止其他黑客与他们合作。 美国财政部还提到了 LockBit 勒索软件行动领导人 Dmitry Khoroshev 的例子，他于 2024 年 5 月受到制裁。此外，俄罗斯国民 Aleksandr Gennadievich Ermakov 是勒索软件组织 REvil 的成员，他于 2024 年 1 月受到制裁。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近期，由于全球网络安全公司CrowdStrike的软件更新问题，引发了大规模的“蓝屏死机”事件，全球超过850万台设备一度瘫痪。尽管微软和Crowdstrike发布了修复指南和工具，且大多数受影响的微软客户已经恢复正常运作，但许多企业仍在努力恢复其系统功能。其中，亚特兰大总部的达美航空（Delta）仍在艰难地恢复中。 上周五事件爆发时，大多数航空公司，包括使用微软产品进行机组调度系统的达美航空，被迫取消航班并停止其他服务。截止到周日，达美航空取消了额外的1250个航班，而截至本周二，又取消了600个航班。这使得自事件发生以来，达美航空的航班取消总数已超过5000次。不幸的是，达美航空官员尚无法提供恢复正常运营的具体时间表。达美航空CEO埃德·巴斯蒂安（Ed Bastian）在一篇博客文章中表示，此次问题影响了他们运行在Windows操作系统上的主要系统之一。他们的团队正在夜以继日地工作，努力恢复并恢复全部功能。他进一步指出，持续的停运问题归因于“机组跟踪相关工具”无法处理因停运而产生的大量变更。 尽管微软迅速提供了解决方案以恢复服务，但需要手动更新设备——对于拥有成千上万受影响计算机的公司来说，这是一个巨大的挑战。 达美航空的问题也突显了交通基础设施对软件故障的脆弱性，这不仅限于安全漏洞。虽然许多公司都有备份和其他应急措施，但如果有缺陷的代码导致计算机无法启动，这些措施也无济于事。 除了达美航空，其他多个行业和企业也在努力应对这一前所未有的IT危机。一些制造业巨头报告称，其生产线因为关键系统的瘫痪而被迫停工。零售行业的供应链管理系统和支付处理系统也受到严重影响，导致大量订单延迟和交易失败。 尽管微软和CrowdStrike都在加紧努力，以帮助受影响的客户恢复正常运营，但预计完全恢复可能还需要数天甚至数周的时间。专家指出，此次事件再次提醒企业在选择和管理IT基础设施时，必须考虑到潜在的风险和应急预案的完善，“蓝屏死机”事件再次证明，我们的数字社会关键基础设施是何等的脆弱。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/FEVCIwg_5Q7bwGXPKandHA 封面来源于网络，如有侵权请联系删除

由于无法访问已被击毙的特朗普枪击案嫌疑人的三星智能手机来寻找线索，FBI 转向一个熟悉的（尽管存在争议）来源来实现其目标：数字取证工具供应商 Cellebrite。 执法部门多年来一直使用 Cellebrite破解已锁定的智能手机。在本案中，枪手的设备是较新的型号，导致他们现有的 Cellebrite 系统失效。执法部门毫不气馁，致电 Cellebrite 的支持团队，供应商很快提供了其软件的更新版本。 彭博社援引知情人士的话称，这款未发布的软件在 40 分钟内就破解了手机。 以这种方式破解设备并不受制造商欢迎，他们长期以来一直反对政府和执法部门削弱设备加密的愿望。众所周知，苹果在 2020 年初与美国司法部长发生冲突，拒绝让联邦调查局访问大规模枪击案凶手的设备，因为这将要求苹果开发后门，而后门必然会进入互联网的黑暗角落。 苹果在 2020 年表示：“我们始终坚信，不存在只为好人开设的后门。” 由于智能手机制造商拒绝合作，Cellebrite依靠设备中的0day漏洞和未被发现的漏洞在未经供应商许可的情况下突破系统。 但根据Cellebrite最近泄露的内部文件，苹果用户可能不需要太担心，因为许多较新的 iPhone 和 iOS 版本仍然无法被破解者的工具访问。 404 Media 报道称，它获得了 2024 年 4 月的 Cellebrite 内部文件，文件表明该公司（至少截至 4 月）无法访问任何运行 iOS 17.4 或更高版本的 Apple 设备，以及大多数运行 iOS 17.1 至 17.3.1 的设备 – 除 iPhone XR 和 11 外。 然而，除部分 Google Pixel 型号外，大多数 Android 设备都存在此漏洞。 目前尚不清楚特朗普枪手拥有的具体是哪一款手机，但考虑到预先发布的 Cellebrite 软件可以破解它，可以假设这场隐私军备竞赛仍在继续。 Cellebrite DI Ltd.是一家以色列数字情报公司，为执法部门以及企业公司和服务提供商提供工具来收集、审查、分析和管理数字数据。总部位于以色列佩塔提克瓦。该公司在全球设有 14 个办事处，包括位于美国华盛顿特区、德国慕尼黑和新加坡的商业中心。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/e7Eeo-sW_AIFuyP3kjyd_w 封面来源于网络，如有侵权请联系删除

据《连线》杂志7月14日的报道，美国电信巨头AT&T 向黑客支付了一笔约37万美元的赎金，以确保被盗数据不被公开。该公司在上周宣称被黑客获取了约1.1亿人的通信记录数据。 这起数据泄露事件最早被发现于今年4月19日，AT&T在外部网络安全专家的协助下启动了事件响应程序。据调查，黑客通过第三方云平台，窃取了AT&T在2022年5月1日至10月31日之间以及1月2日期间用户的通信记录数据。虽然这些数据不包含用户的姓名、社会安全号码、出生日期以及具体通信内容，但仍然可以通过一些特定工具将这些泄露的电话号码与对应的联系人身份关联起来。 《连线》杂志首次报道称，AT&T在5月份向黑客支付了5.7个比特币（交易时约合37万美元）的赎金，以防止数据被公开，据悉，该黑客是臭名昭著的ShinyHunters黑客组织的一员，该组织经常通过不安全的Snowflake云存储帐户窃取数据。 此外，一位名叫雷丁顿的安全研究人员称自己是这起赎金支付交易的中间人，黑客在今年4月告知他从不安全的Snowflake云存储帐户窃取了AT&T数据，他随即向安全公司Mandiant发出了警报，该公司通知了AT&T。黑客最初的赎金要求高达100万美元，但最终以上述的37万美元达成交易。在收到赎金后，黑客还录制了一段删除被盗数据的视频，并通过雷丁顿提供给了《连线》杂志。 目前，AT&T拒绝就公司支付赎金的报道发表评论。当地时间7月17日，两名美国参议员已就这起大规模的数据泄露事件向AT&T 提出问询，该公司表示会就此事向参议员做出直接回复。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406198.html 封面来源于网络，如有侵权请联系删除